Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
GuardDuty Threat Intel Set | Create (se requiere revisión)
Úselo para crear una GuardDuty ThreatIntelSet instancia de Amazon, que es una lista de direcciones IP maliciosas conocidas que se han incluido en la lista negra para comunicarse con su entorno de AWS.
Clasificación completa: Despliegue | Monitoreo y notificación | Conjunto de información sobre GuardDuty amenazas | Creación (es necesaria una revisión)
Detalles del tipo de cambio
ID de tipo de cambio |
ct-25v6r7t8gvkq5 |
Versión actual |
1.0 |
Duración prevista de la ejecución |
240 minutos |
Aprobación de AWS |
Obligatorio |
Aprobación del cliente |
No es obligatorio si es el remitente |
Modo de ejecución |
Manual |
Información adicional
Set de información sobre cómo crear GuardDuty amenazas (es necesario revisarlo)
A continuación se muestra este tipo de cambio en la consola AMS.
Cómo funciona:
Vaya a la página Crear RFC: en el panel de navegación izquierdo de la consola AMS, haga clic RFCspara abrir la página de RFCs listas y, a continuación, haga clic en Crear RFC.
Elija un tipo de cambio (CT) popular en la vista predeterminada de búsqueda de tipos de cambios o seleccione un CT en la vista Elegir por categoría.
Busque por tipo de cambio: puede hacer clic en un CT popular en el área de creación rápida para abrir inmediatamente la página Ejecutar RFC. Tenga en cuenta que no puede elegir una versión antigua de CT con Quick Create.
Para ordenar CTs, utilice el área Todos los tipos de cambios en la vista de tarjeta o de tabla. En cualquiera de las vistas, seleccione una CT y, a continuación, haga clic en Crear RFC para abrir la página Ejecutar RFC. Si corresponde, aparece la opción Crear con una versión anterior junto al botón Crear RFC.
Elegir por categoría: seleccione una categoría, una subcategoría, un elemento y una operación, y se abrirá el cuadro de detalles del CT con la opción Crear con una versión anterior, si corresponde. Haga clic en Crear RFC para abrir la página Ejecutar RFC.
En la página Ejecutar RFC, abra el área del nombre del CT para ver el cuadro de detalles del CT. Se requiere un asunto (lo rellena automáticamente si elige su CT en la vista Buscar tipos de cambios). Abra el área de configuración adicional para añadir información sobre la RFC.
En el área de configuración de ejecución, utilice las listas desplegables disponibles o introduzca valores para los parámetros necesarios. Para configurar los parámetros de ejecución opcionales, abra el área de configuración adicional.
Cuando haya terminado, haga clic en Ejecutar. Si no hay errores, aparecerá la página de la RFC creada correctamente con los detalles de la RFC enviada y el resultado inicial de la ejecución.
Abra el área de parámetros de ejecución para ver las configuraciones que envió. Actualice la página para actualizar el estado de ejecución de la RFC. Si lo desea, cancele la RFC o cree una copia de la misma con las opciones de la parte superior de la página.
Cómo funciona:
Utilice la función de creación en línea (se emite un
create-rfccomando con todos los parámetros de ejecución y RFC incluidos) o la de plantilla (se crean dos archivos JSON, uno para los parámetros de RFC y otro para los parámetros de ejecución) y ejecute elcreate-rfccomando con los dos archivos como entrada. Ambos métodos se describen aquí.Envíe el
aws amscm submit-rfc --rfc-idcomando RFC: con el ID de RFC devuelto.IDSupervise el comando RFC:.
aws amscm get-rfc --rfc-idID
Para comprobar la versión del tipo de cambio, utilice este comando:
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
nota
Puede utilizar cualquier CreateRfc parámetro con cualquier RFC, forme o no parte del esquema del tipo de cambio. Por ejemplo, para recibir notificaciones cuando cambie el estado de la RFC, añada esta línea --notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}" a la parte de los parámetros de la RFC de la solicitud (no a los parámetros de ejecución). Para ver una lista de todos los CreateRfc parámetros, consulta la referencia de la API de administración de cambios de AMS.
CREACIÓN EN LÍNEA:
Ejecute el comando create RFC con los parámetros de ejecución incluidos en línea (comillas de escape al proporcionar los parámetros de ejecución en línea) y, a continuación, envíe el ID de RFC devuelto. Por ejemplo, puedes reemplazar el contenido por algo como esto:
aws amscm create-rfc --change-type-id "ct-25v6r7t8gvkq5" --change-type-version "1.0" --title "Create Amazon GuardDuty Threat Intel Set" --execution-parameters "{\"Activate\":true, \"DetectorId\": \"00000000000000000000000000000000\", \"Format\": \"TXT\", \"Name\": \"blacklisted-ips\", \"ThreatIntelSet\": \"https://s3.us-west-2.amazonaws.com/bucket-name/my-object-key\", \"Region\": \"us-east-1\"}"
CREACIÓN DE PLANTILLA:
Envía los parámetros de ejecución del esquema JSON para este tipo de cambio a un archivo; este ejemplo lo nombra CreateGdThreatIntelSetParams .json.
aws amscm get-change-type-version --change-type-id "ct-25v6r7t8gvkq5" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateGdThreatIntelSetParams.jsonModifique y guarde el CreateGdThreatIntelSetParams archivo. Por ejemplo, puede reemplazar el contenido por algo como esto:
{ "Activate":true, "DetectorId": "00000000000000000000000000000000", "Format": "TXT", "Name": "blacklisted-ips", "ThreatIntelSet": "https://s3.us-west-2.amazonaws.com/bucket-name/my-object-key", "Region": "us-east-1" }Envía el archivo JSON de la plantilla RFC a un archivo llamado CreateGdThreatIntelSetRfc .json:
aws amscm create-rfc --generate-cli-skeleton > CreateGdThreatIntelSetRfc.jsonModifique y guarde el CreateGdThreatIntelSetRfc archivo.json. Por ejemplo, puedes reemplazar el contenido por algo como esto:
{ "ChangeTypeVersion": "1.0", "ChangeTypeId": "ct-25v6r7t8gvkq5", "Title": "CREATE_GD_THREAT_INTEL_SET" }Cree el RFC, especificando el archivo CreateGdIpSet RFC y el CreateGdThreatIntelSetParams archivo:
aws amscm create-rfc --cli-input-json file://CreateGdThreatIntelSetRfc.json --execution-parameters file://CreateGdThreatIntelSetParams.jsonRecibirá el ID de la nueva RFC en la respuesta y podrá utilizarla para enviar y supervisar la RFC. Hasta que la envíe, la RFC permanece en estado de edición y no se inicia.
Se trata de un tipo de cambio que requiere revisión (un operador de AMS debe revisar y ejecutar el CT), lo que significa que la RFC puede tardar más en ejecutarse y es posible que tengas que comunicarte con AMS a través de la opción de correspondencia de la página de detalles de la RFC. Además, si programa un RFC del tipo de cambio «requiere revisión», asegúrese de esperar al menos 24 horas. Si la aprobación no se produce antes de la hora de inicio programada, el RFC se rechazará automáticamente.
Para obtener más información sobre Amazon GuardDuty y la creación de conjuntos Threat Intel, consulte Amazon GuardDuty
Parámetros de entrada de ejecución
Para obtener información detallada sobre los parámetros de entrada de la ejecución, consulteEsquema de cambio: escriba ct-25v6r7t8gvkq5.
Ejemplo: Parámetros necesarios
{ "Region": "us-east-1", "Name": "Sample Threat Intel Set", "ThreatIntelSet": "https://s3.amazonaws.com/guarddutylists/sample.txt" }
Ejemplo: todos los parámetros
{ "Activate": true, "DetectorId": "12abc34d567e8fa901bc2d34e56789f0", "Region": "us-east-1", "Name": "Sample Threat Intel Set", "ThreatIntelSet": "https://s3.amazonaws.com/guarddutylists/sample.txt", "Format": "TXT", "Priority": "Medium" }
